Kuzey Kore’nin devlet destekli Lazarus Grubu, kötü amaçlı yazılım cephaneliğine karmaşık ve halen gelişmekte olan yeni bir arka kapı eklemiş gibi görünüyor; bu, ilk kez bir İspanyol havacılık ve uzay şirketinin başarılı bir siber saldırısında fark edildi.
Kötü amaçlı yazılımı keşfeden ESET araştırmacıları, yeni tehdidi “LightlessCan” olarak izliyor ve bunun, tehdit grubunun amiral gemisi BlindingCan uzaktan erişim Truva Atı’nın (RAT) kaynak koduna dayandığına inanıyor.
Lazarus, ABD kuruluşlarının ve kurumsal güvenlik ekiplerinin yıllar içinde oldukça aşina olduğu, Kuzey Kore devleti destekli bir tehdit grubudur. Lazarus grubu, 2014 yılında Sony Pictures’a yönelik yıkıcı bir saldırıyla ilk kez geniş çapta ün kazandığından bu yana, kendisini şu anda aktif olan en tehlikeli gelişmiş kalıcı tehdit (APT) gruplarından biri olarak kabul ettirdi. Yıllar geçtikçe bankalara ve diğer finans kuruluşlarına düzenlediği saldırılarla on milyonlarca dolar çaldı; savunma yüklenicilerinden, devlet kurumlarından, sağlık kuruluşlarından ve enerji firmalarından terabaytlarca hassas bilginin sızdırılması; ve çok sayıda kripto para birimi soygunu ve tedarik zinciri saldırısı gerçekleştirdi.
İlk Erişim İçin Meta Olarak Hedefli Kimlik Avı
ESET’in İspanyol havacılık şirketine yönelik saldırıyla ilgili analizi, Lazarus aktörlerinin, şirketteki belirli çalışanları hedef alan başarılı bir hedef odaklı kimlik avı kampanyası yoluyla ilk erişim elde ettiğini gösterdi. Tehdit aktörü, Facebook’un ana şirketi Meta’nın işe alım uzmanı kılığına girdi ve havacılık ve uzay firmasındaki geliştiricilerle LinkedIn Mesajlaşma aracılığıyla iletişime geçti.
İlk mesajı takip etmesi için kandırılan bir çalışan, iddiaya göre çalışanın C++ programlama dilindeki yeterliliğini kontrol etmek için iki kodlama sınavına tabi tutuldu. Gerçekte, üçüncü taraf bir bulut depolama platformunda barındırılan kodlama zorlukları, sorunu çözmeye çalışan çalışanın sistemine gizlice ek yükler indiren kötü amaçlı yürütülebilir dosyalar içeriyordu.
Bu yüklerden ilki, ESET araştırmacılarının NickelLoader adını verdiği bir HTTPS indiricisiydi. Araç temel olarak Lazarus grubu aktörlerinin, seçtikleri herhangi bir programı tehlikeye atılmış sistemin belleğine yerleştirmesine olanak tanıdı. Bu durumda Lazarus grubu, BlindingCan ve LightlessCan arka kapısının sınırlı işlevli bir versiyonu olan iki RAT’ı bırakmak için NickelLoader’ı kullandı. ESET’in miniBlindingCan adını verdiği BlindingCan’in basitleştirilmiş sürümünün rolü, bilgisayar adı, Windows sürümü ve yapılandırma verileri gibi sistem bilgilerini toplamak ve ayrıca komut ve kontrol (C2) sunucusundan komutları alıp yürütmektir. .
ESET araştırmacısı Peter Kálnai’nin yeni keşfedilen kötü amaçlı yazılımı ayrıntılarıyla anlatan bir blog yazısında yazdığına göre, LightlessCan, Lazarus grubunun hedeflediği kuruluşlar için önemli ve yeni bir tehdidi temsil ediyor.
Kötü amaçlı yazılımın tasarımı, Lazarus grubu aktörlerine, güvenliği ihlal edilmiş sistemlerdeki kötü amaçlı etkinliklerin izlerini önemli ölçüde kontrol altına almaları için bir yol sağlıyor ve böylece gerçek zamanlı izleme kontrollerinin ve adli tıp araçlarının bunu tespit etme yeteneğini sınırlıyor.
Gerçek Zamanlı İzleme ve Adli Araçlardan Gizlenen Bir RAT
LightlessCan, çoğu sistem ve ortam bilgilerini toplamak için ping, ipconfig, systeminfo ve net gibi yerel Windows komutlarını taklit eden 68’e kadar farklı komutun desteğini entegre eder. Bu komutlardan yalnızca 43’ü şu anda gerçekten işlevsel; geri kalanı, tehdit aktörünün muhtemelen daha sonraki bir noktada tamamen işlevsel hale getireceği türden yer tutucular; bu da aracın hâlâ geliştirilme aşamasında olduğunu gösteriyor.
Kálnai blog yazısında şöyle açıkladı: “RAT’ın arkasındaki proje kesinlikle BlindingCan kaynak kodunu temel alıyor, çünkü paylaşılan komutların sırası, indekslemelerinde farklılıklar olsa bile önemli ölçüde korunuyor.”
Ancak LightlessCan, BoundlessCan’dan çok daha gelişmiş görünüyor. Yeni Trojan, diğer şeylerin yanı sıra, yerel Windows komutlarının RAT’ın kendisinde yürütülmesine olanak tanıyor.
Kálnai, “Bu yaklaşım, hem uç nokta tespiti ve yanıtı (EDR’ler) gibi gerçek zamanlı izleme çözümlerinden hem de ölüm sonrası dijital adli araçlardan kaçınmak açısından gizlilik açısından önemli bir avantaj sunuyor.” diye yazdı.
Tehdit aktörü ayrıca LightlessCan’i, şifrelenmiş yükünün şifresinin yalnızca ele geçirilen makineye özel bir şifre çözme anahtarı kullanılarak çözülebileceği şekilde ayarladı. Amaç, yük şifresinin çözülmesinin yalnızca hedef sistemlerde mümkün olmasını ve başka hiçbir ortamda mümkün olmamasını sağlamaktır. Kalna notu, Bir güvenlik araştırmacısına ait bir sistem gibi.